Konfigurera din App Service- eller Azure Functions-app för att logga in med en OpenID Connect-provider
Den här artikeln visar hur du konfigurerar Azure App Service eller Azure Functions för att använda en anpassad autentiseringsprovider som följer OpenID Connect-specifikationen. OpenID Connect (OIDC) är en branschstandard som används av många identitetsprovidrar (IDP:er). Du behöver inte förstå informationen i specifikationen för att konfigurera appen så att den använder en efterlevnads-IDP.
Du kan konfigurera din app så att den använder en eller flera OIDC-leverantörer. Var och en måste få ett unikt alfanumeriskt namn i konfigurationen och endast ett kan fungera som standardomdirigeringsmål.
Registrera ditt program med identitetsprovidern
Din leverantör kräver att du registrerar information om ditt program med den. Ett av dessa steg omfattar att ange en omdirigerings-URI. Den här omdirigerings-URI:n kommer att vara av formuläret <app-url>/.auth/login/<provider-name>/callback
. Varje identitetsprovider bör ge fler instruktioner om hur du utför de här stegen. <provider-name>
refererar till det egna namn som du ger till Namnet på OpenID-providern i Azure.
Kommentar
Vissa leverantörer kan kräva ytterligare steg för konfigurationen och hur de använder de värden som de tillhandahåller. Apple tillhandahåller till exempel en privat nyckel som inte används som OIDC-klienthemlighet, och du måste i stället använda den för att skapa en JWT som behandlas som den hemlighet som du anger i appkonfigurationen (se avsnittet "Skapa klienthemligheten" i dokumentationen logga in med Apple)
Du måste samla in ett klient-ID och en klienthemlighet för ditt program.
Viktigt!
Klienthemligheten är en viktig säkerhetsautentiseringsuppgift. Dela inte den här hemligheten med någon eller distribuera den i ett klientprogram.
Dessutom behöver du OpenID Connect-metadata för providern. Detta exponeras ofta via ett konfigurationsmetadatadokument, som är providerns Issuer URL-suffix med /.well-known/openid-configuration
. Samla in den här konfigurations-URL:en.
Om du inte kan använda ett konfigurationsmetadatadokument måste du samla in följande värden separat:
- Utfärdarens URL (visas ibland som
issuer
) - OAuth 2.0-auktoriseringsslutpunkten (visas ibland som
authorization_endpoint
) - OAuth 2.0-tokenslutpunkten (visas ibland som
token_endpoint
) - URL:en för JSON Web Key Set-dokumentet för OAuth 2.0 (visas ibland som
jwks_uri
)
Lägga till providerinformation i ditt program
- Logga in på Azure Portal och gå till din app.
- Välj Autentisering i menyn till vänster. Välj Lägg till identitetsprovider.
- Välj OpenID Connect i listrutan identitetsprovider.
- Ange det unika alfanumeriska namnet som valdes tidigare för OpenID-providerns namn.
- Om du har URL:en för metadatadokumentet från identitetsprovidern anger du det värdet för metadata-URL:en. Annars väljer du alternativet Ange slutpunkter separat och placerar varje URL som samlats in från identitetsprovidern i lämpligt fält.
- Ange det tidigare insamlade klient-ID:t och klienthemligheten i lämpliga fält.
- Ange ett programinställningsnamn för klienthemligheten. Din klienthemlighet lagras som en appinställning för att säkerställa att hemligheter lagras på ett säkert sätt. Du kan uppdatera den inställningen senare för att använda Key Vault-referenser om du vill hantera hemligheten i Azure Key Vault.
- Tryck på knappen Lägg till för att slutföra konfigurationen av identitetsprovidern.
Kommentar
Namnet på OpenID-providern får inte innehålla symboler som "-" eftersom en appetting skapas baserat på detta och inte stöder det. Använd "_" i stället.
Kommentar
Azure kräver omfång för "openid", "profil" och "e-post". Kontrollera att du har konfigurerat din appregistrering i din ID-provider med minst dessa omfång.
Nästa steg
- Översikt över App Service-autentisering/auktorisering.
- Självstudie: Autentisera och auktorisera användare från slutpunkt till slutpunkt i Azure App Service